APT

2025년 3월 APT 그룹 동향 보고서

4월 16 2025

국가별 주요 APT 그룹 동향

1) 북한

북한의 APT 그룹들이 가장 활발하게 활동했다. 이메일을 이용한 접근 방식 외에 타깃이 활동하는 커뮤니티 게시판에 악성코드를 포함한 게시하기도 했으며, 가짜 취업 인터뷰를 이용한 공격에서는 클릭픽스 (ClickFix) 기법을 이용했다. 북한 APT 그룹은 유행하는 공격 기법도 적극 활용하고 있다.

Kimsuky

Kimsuky 그룹은 통일 분야 교육 프로그램 수강생을 모집하는 공지 게시글에 악성 OLE 개체가 포함된 한컴 한글 문서를 업로드했다.

사례 1.
시기	2025년 3월
공격 대상	통일 분야 교육 프로그램 지원자 및 관련자
초기 침투	공지 게시글에 악성코드 포함된 HWP 문서 파일 업로드
이용 취약점	N/A
악성코드 및 도구	악성 HWP 문서 파일 document.bat 0304.exe 및 0304_1.exe 0304.bat
기법	OLE 개체를 활용한 악성 코드 실행 작업 스케줄러를 통한 지속성 유지 .manifest 파일 로드를 통한 VBScript 실행
피해	시스템과 사용자 자격 증명 및 자료 유출
내용	Kimsuky 그룹은 북한 배후의 해킹 그룹으로, 통일 분야 교육 프로그램 지원서를 위장한 악성 파일을 유포하여 워터링 홀 공격을 수행함
출처	Kimsuky 그룹의 워터링 홀 공격, 통일 분야 교육 지원서를 위장한 악성 파일 유포 주의[1]

Konni

Konni 그룹은 LNK 파일을 이용해 AsyncRAT 악성코드를 감염시켰다.[2]

사례 1.
시기	2025년 2월
공격 대상	러시아, 동아시아, 유럽, 중동 지역의 정치 조직 및 기관
초기 침투	이메일을 통한 연말 정산 가장 LNK 파일 악성 매크로가 포함된 워드 문서를 통한 침투
이용 취약점	N/A
악성코드 및 도구	Konni
기법	Windows 탐색기의 파일 확장자 숨기기 및 LNK 파일의 260자 제한을 악용하여 명령을 은닉 배치 파일, 파워 셸 스크립트, VBScript를 활용한 다단계 공격 암호화된 URL을 사용하여 시스템 및 사용자 데이터 유출 복잡한 변수명과 동적 URL 생성을 통한 탐지 회피 레지스트리 수정 및 VBScript를 통한 지속성 유지 실행 중 파일 및 명령 삭제를 통한 흔적 제거 .docx 문서로 위장하여 악성 행위 수행
피해	시스템과 사용자 자격 증명 및 자료 유출
내용	Konni RAT는 Windows 시스템을 대상으로 하는 고도화된 원격 액세스 트로이 목마로, 민감한 정보 수집, 지속성 유지, 추가 페이로드 실행 등의 기능을 수행함
출처	Analysis of Konni RAT: Stealth, Persistence, and Anti-Analysis Techniques[3]

Lazarus

Lazarus 그룹은 한국의 웹 서버 취약점을 악용해 C&C 서버로 구축했다. 개발자를 타깃으로 npm 패키지를 이용한 공격을 수행했다. 또, 가짜 취업 인터뷰를 통해 암호화폐 거래소에 대한 공격도 지속적으로 시도하고 있다. 최근 공격자들이 사용하고 있는 클릭픽스(ClickFix) 기법을 이용한 공격도 수행되었다.

사례 1.
시기	2024년 5월 및 2025년 1월
공격 대상	한국 IIS 서버
초기 침투	웹 서버 취약점을 통한 웹셸 설치
이용 취약점	웹 서버 파일 업로드 취약점
악성코드 및 도구	RedHat Hacker 웹셸 LazarLoader 악성코드 권한 상승 도구
기법	웹셸을 통한 시스템 명령 실행 C2 스크립트를 이용한 프록시 통신 LazarLoader를 통한 페이로드 다운로드 및 실행 UACMe 도구를 활용한 권한 상승
피해	추가 악성코드 설치를 통한 시스템 장악
내용	Lazarus 그룹은 한국 IIS 웹 서버를 공격하여 웹셸 및 C2 스크립트를 설치하고, 악성코드의 C2 서버로 활용함 LazarLoader와 권한 상승 도구를 사용하여 시스템 내 추가 악성코드를 설치하고 실행함
출처	Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석[4]

사례 2.
시기	2025년 1월부터
공격 대상	개발자
초기 침투	악성 npm 패키지
이용 취약점	N/A
악성코드 및 도구	BeaverTail 악성코드 InvisibleFerret 백도어 악성 npm 패키지 (is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, auth-validator)
기법	타이포스쿼팅 악성 GitHub 저장소 생성 및 유지
피해	시스템과 사용자 자격 증명 및 자료 유출 암호화폐 데이터 추출
내용	Lazarus 그룹은 북한의 국가 지원 해킹 그룹으로, npm 생태계를 침투하여 악성 패키지를 배포함으로써 개발자 환경을 위협하고 있음
출처	Lazarus Strikes npm Again with New Wave of Malicious Packages[5]

사례 3.
시기	2025년 3월
공격 대상	암호화폐 산업 CeFi 기업 암호화폐 산업 종사자 (특히 기술 비전문가 직군)
초기 침투	가짜 구인 사이트 활용
이용 취약점	N/A
악성코드 및 도구	GolangGhost (Go 기반 백도어) FrostyFerret (macOS용 스틸러) BeaverTail (정보 탈취) InvisibleFerret (2단계 페이로드, 키로깅/정보 탈취 등) FriendlyFerret / FrostyFerret / FlexibleFerret (macOS용 변종) NodeJS 기반 로더 (nvidia.js) Powershell / curl / tar / wscript / bash 스크립트
기법	ClickFix 전술 활용
피해	Bybit에서 $1.5B 탈취
내용	Lazarus 그룹은 ClickFake Interview 캠페인에서 가짜 구인 사이트를 활용하여 암호화폐 기업을 대상으로 공격을 수행하며, ClickFix 전술을 사용함
출처	From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic[6]